Команда разработчиков Cosmos исправила критическую проблему безопасности в протоколе Cosmos Inter-Blockchain Communication (IBC), из-за которой потенциально может быть раскрыто более 126 миллионов долларов.
Еще до того, как стало известно общественности, Asymmetric Research поделилась информацией о слабости, затрагивающей инфраструктуру Cosmos. Они упомянули, что эта проблема уже решена с помощью патча, предотвращающего возможное неправильное использование.
Критическая ошибка безопасности
Согласно выводам Asymmetic Research, протокол Inter Blockchain имел врожденный недостаток с момента его создания. Однако только после того, как в кодовую базу протокола были внесены улучшения, эта ошибка стала доступной для использования. Как только в Cosmos стало известно о проблеме, они оперативно выпустили патч, чтобы никто не смог воспользоваться уязвимостью. В недавнем сообщении в блоге Asymmetric Research раскрыла эту информацию.
Злоумышленник мог воспользоваться недостатком повторного входа в обработку сообщений о тайм-ауте в определенных цепочках Cosmos, что потенциально позволило им создавать бесконечный запас токенов IBC. Эта уязвимость присутствовала в IBC-go с момента его создания, но стала доступной для использования благодаря достижениям в сообществе Cosmos SDK, в частности, внедрению интерфейсов IBC на основе CosmWasm. Мы сообщили об этой проблеме через программу Cosmos HackerOne Bug Bounty, и исправление было реализовано. Никаких атак не произошло и никакие средства не пострадали.
Джесси Ирвин, генеральный директор Amulet, который управляет программой вознаграждения за ошибки Interchain Foundation и обеспечивает безопасность в экосистеме Cosmos, подтвердил получение отчета о проблеме.
В процессе решения этого вопроса компания Amulet и команда IBC-go провели отдельные оценки, сосредоточив внимание на потенциальных рисках и выявив стороны, которые могут быть затронуты, с целью минимизировать любое негативное воздействие.
Более 126 миллионов долларов оказались под угрозой
Согласно выводам Asymmetric Research, в коде существовала вероятность ошибки повторного входа. Если бы эта проблема была использована, хакеры могли бы генерировать бесконечное количество токенов во взаимосвязанных сетях блокчейнов, таких как Osmosis и других децентрализованных финансовых платформах в экосистеме Cosmos.
По нашим оценкам, у Osmosis могли быть изъяты активы на сумму более 126 миллионов долларов. Тем не менее, реализация ограничения скорости на этой платформе помогает смягчить потенциальный вред.
Ограничения скорости помогают защитить системы от перегрузки нежелательными запросами, устанавливая ограничение на количество запросов, которые могут быть сделаны в течение заданного периода времени. В случае с Cosmos и его промежуточным программным обеспечением IBC эта функция стала решающей, когда разработчики обнаружили уязвимость в системе, позволяющую стандартным токенам Interchain token перемещаться между цепочками. В своем блоге Asymmetric объяснили, что эта проблема позволила злоумышленникам использовать систему, подчеркнув важность ограничения скорости как защитной меры.
«Эта ситуация показывает, насколько просто подорвать доверие и создать новые слабые места путем введения новых функций или функций. Она служит еще одним напоминанием о важности нескольких уровней защиты. Эта уязвимость подчеркивает острую необходимость дальнейшего изучения перекрестной защиты. -угрозы безопасности цепочки, чтобы более эффективно защитить мультичейн-сеть.»
По мнению генерального директора Asymmetric Джонатана Клаудиуса, этот вопрос подчеркивает важность проведения дальнейших расследований потенциальных рисков безопасности, связанных с кросс-цепочками, что позволит повысить общую защиту взаимосвязанной сети блокчейнов.
«Это открытие подчеркивает важность проведения дополнительных исследований межсетевых рисков безопасности для более эффективной защиты мультичейн-системы. Этот инцидент демонстрирует нашу способность и стремление выявлять и смягчать значительные угрозы, которые потенциально могут поставить под угрозу цифровую экономику. .»
Смотрите также
- Прогнозы криптовалюты BB: анализ и прогноз цен на BounceBit
- Прогнозы криптовалюты DOGS: анализ и прогноз цен на Dogs
- Прогнозы криптовалюты KAS: анализ и прогноз цен на Kaspa
- Прогнозы криптовалюты DYM: анализ и прогноз цен на Dymension
- Прогнозы криптовалюты ZK: анализ и прогноз цен на ZKsync
- Прогнозы криптовалюты NOT: анализ и прогноз цен на NOT
- Генетико акции прогноз. Цена GECO
- Промомед акции прогноз. Цена PRMD
- Novabev Group акции прогноз. Цена BELU
- Прогнозы криптовалюты ENA: анализ и прогноз цен на Ethena
2024-04-24 12:09